Надежное уничтожение данных

Обычно сохранность данных рассматривается в контексте информационной безопасности. Частный вопрос безопасности — надежное уничтожение конфиден­циальной информации. Самые распространенные ситуации, когда информацию нужно гарантированно уничтожить:

? компьютер или винчестер сдается в гарантийный ремонт;

? пользователь продает устаревший компьютер или лишний винчестер;

? постороннему лицу передается перезаписываемый диск или flash-накопитель, на котором ранее хранилась конфиденциальная информация.

Ни удаление файлов, ни форматирование дисков совершенно не решают проблему. Как говорилось ранее, при наличии желания и средств восстановить удаленную

информацию удается почти всегда! Для гарантированного уничтожения данных необходимо записать во все секторы носителя случайные значения или, как чаще поступают, нули.

В этой области типичными и исчерпывающими можно считать требования доку­мента National Industrial Security Program Operating Manual (NISPOM или US DoD 5220.22-M) Министерства обороны США, посвященного стандартам безопасности. В соответствии с ним для уничтожения носителей, содержащих сведения кате­гории «совершенно секретно», может применяться только размагничивание или физическое разрушение пластин путем измельчения. Для гарантированного унич­тожения данных меньших степеней секретности рекомендованы несколько алго­ритмов полной или частичной, но многократной перезаписи носителя на физиче­ском уровне. В России действует ГОСТ Р 50739—95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие техни­ческие требования».

Простое «бытовое» решение средствами операционной системы — удалить все файлы и папки, а затем записать на диск несколько копий большого файла, напри­мер фильма, до заполнения всего объема диска. Так очень легко затереть все уда­ленные ранее данные. Этот метод подходит для предпродажной подготовки ком­пьютера или винчестера, хотя он довольно трудоемок: чтобы заполнить диск объемом в сотни гигабайтов, файл размером 700 Мбайт придется скопировать сотни раз. Зато в отношении flash-накопителя, который нужно дать кому-то напро­кат, такой способ оказывается едва ли не самым быстрым и простым.

Функции гарантированного удаления всех данных, или безопасного форматиро­вания (Secure Erase), заложены в большинстве программ для работы с разделами жестких дисков, например Partition Magic или Acronis Disk Director. При этом может быть уничтожено только содержимое раздела или диска целиком. Суще­ствуют и утилиты, предназначенные исключительно для уничтожения всех данных на диске или разделе без возможности восстановления, например Acronis Drive Cleanser.

Программа Eraser (http://eraser.sourceforge.net) — специальное средство для выбо­рочного удаления данных. Приложение использует совершенные алгоритмы за­полнения кластеров случайными числами или нулями. Для уверенности каждый сектор или кластер переписывается многократно, и восстановить его исходное содержимое становится невозможно. В настройках программы можно задать один из алгоритмов затирания секторов, который будет использоваться по умолчанию. Это бесплатное приложение способно работать в нескольких режимах.

On-Demand — удаление по требованию. При этом сначала создается задание, а потом это задание нужно запустить вручную. Чтобы использовать данный режим, сделайте следующее.

1. В главном окне программы нажмите кнопку New Task (Новое задание). Появится окно свойств задания (рис. 6.1).

Рис. 6.1. Новое задание

В этом окне указывается, что следует стереть и как. В зависимости от положения переключателя возможны три варианта действий.

? Unused space on drive (Неиспользуемое место на диске). В раскрывающемся списке выбирается один из логических дисков. При выполнении задания будет затерто (заполнено случайными данными) все свободное место на выбранном диске и ранее удаленные файлы, тела которых еще остаются в якобы свободных кластерах, будут уничтожены безвозвратно.

? Files in folder (Файлы в папке). Уничтожаются файлы в указанной папке. Кнопка справа от поля ввода открывает стандартное дочернее окно выбора папки. Флажки под полем ввода определяют, должны ли удаляться также все вложенные папки и сама указанная папка.

? File (Файл). В этом случае указывается конкретный файл, который подлежит безопасному удалению. Можно также задать маски файлов (wildcards), на­пример все файлы с указанным расширением.

Раскрывающийся список When finished (Когда закончено) определяет, что сле­дует сделать после выполнения задания. Поскольку большое задание может выполняться довольно долго, эта функция позволяет автоматически перезагру­зить, выключить компьютер или перевести его в спящий режим.

2. Задайте нужные параметры в окне Task Properties (Свойства задания) и нажми­те кнопку ОК. Задание появится в списке в главном окне программы.

3. Для запуска задания выделите его, а затем нажмите кнопку Q Run ( Выполнить) на панели инструментов. При выполнении задания приложение может запро­сить подтверждение некоторых действий.

Sheduler — планировщик. Этот компонент программы устроен почти так же, как предыдущий, но в окне свойств задания появляются две дополнительные вкладки.

? Shedule (Расписание) — задает периодичность выполнения задания, например по датам, времени или при каждой перезагрузке компьютера.

? Files (Файлы) — определяет алгоритмы затирания секторов при выполнении именно этого задания.

В контекстных меню файлов и папок в Проводнике Windows после установки про­граммы Eraser добавляются два новых пункта:

? Erase (Стереть) — при этом файл или папка удаляются, а занимавшиеся ими секторы сразу же заполняются случайными числами;

? Erase secure move (Переместить и безопасно стереть исходный объект).

Это третий режим использования программы Eraser и, вероятно, самый простой. По умолчанию приложение запускается автоматически при загрузке операцион­ной системы Windows, и такой способ безвозвратного удаления данных работает совершенно прозрачно для пользователя.

Можно создавать сколько угодно заданий. При настройке программы под конкрет­ные требования безопасности на рабочем месте можно быть уверенным, что уда­ленные данные уже не подлежат восстановлению сразу же, к определенному вре­мени или после очередного включения компьютера. Вместе с тем пользователю придется постоянно быть начеку, ведь точно так же не удастся восстановить и фай­лы, удаленные по неосторожности или по ошибке.

В поставку последних версий программы Eraser входит и самостоятельная утили­та Darik’s Boot and Nuke (DBAN) для создания загрузочного гибкого диска 3,5\ После загрузки компьютера с созданного гибкого диска с него автоматически за­пускается утилита, которая форматирует и затирает все обнаруженные жесткие диски. Поскольку программа работает автоматически и не спрашивает подтвер­ждений, относиться к этой загрузочной дискете следует с чрезвычайной осторож­ностью! Таким образом очень удобно избавлять компьютер от компрометирующих материалов перед его отправкой в ремонт или продажей. Конечно, в момент штурма офиса незнакомцами в бронежилетах загрузочный диск DBAN не поможет — про­грамма работает достаточно долго.

Моментальное уничтожение информации с жесткого диска при угрозе его попада­ния в чужие руки возможно лишь вместе с уничтожением самого винчестера. В пра­вительственных учреждениях Великобритании действует инструкция, по которой диск надлежит извлечь из системного блока и разбить молотком. При этом в инструк­ции оговариваются размеры и вес молотка. Скорее всего, хорошие результаты мож­но получить и при использовании пистолета Макарова, из которого производится выстрел в крышку диска в проекции пластин. Однако следует помнить, что нака­зание за хранение и применение огнестрельного оружия может превысить санкции, грозящие по «экономической» или «хакерской» статье. Это, конечно, шутка, но проблема экстренного уничтожения данных в критической ситуации действи­тельно стоит очень остро.

Для уничтожения информации на жестких дисках выпускаются специальные устрой­ства на основе импульсных электромагнитных генераторов. Для эффективного размагничивания пластин генератор должен обладать очень большой мощностью в импульсе и, как правило, имеет солидные габариты. Устройство либо монтируется в серверную стойку под корзинами винчестеров, либо выполняется в виде внешнего блока, а к винчестерам от него подводятся кабели с излучателями-индукторами.

В качестве примеров назовем российские разработки: систему уничтожения дан­ных «АБС ДКЗ» (www.nero.ru), модули «Раскат» и «Стек» (www.detsys.ru) в различ­ных исполнениях. Цена подобной аппаратуры находится в пределах $1000-2000. Выпускаются и автономные уничтожители данных, предназначенные для хранения и транспортировки дисков, например портативное устройство «Раскат-кейс». Блок для экстренного уничтожения flash-дисков «Магма-4» (www.detsys.ru) питается от автономной батареи и при необходимости подает на накопитель разряд высокого напряжения, выводящий из строя и контроллер, и сами микросхемы памяти.

По мере развития и широкого распространения криптографии сложился новый подход к уничтожению данных. Если зашифровать весь диск с применением сильных алгоритмов, извлечение данных с него без знания ключа становится практически неразрешимой задачей. Поэтому сегодня наиболее актуальной считается защита данных на основе шифрования. Хотя изначальная задача шифрования — защитить данные в случае кражи компьютера или диска, что применимо и для аварийного уничтожения информации.

Нужно понимать, что полз^ение ключа для расшифровки — задача не программная, а правовая или даже силовая. Поэтому во многих системах шифрования преду­смотрен случай «работы под принуждением»: достаточно дать одну команду для разрушения небольшой управляющей структуры, чтобы любой существующий ключ перестал подходить для дешифровки. Создание нового ключа методом под-

бора потребует непрерывных вычислений в течение десятилетий, поэтому опера­цию можно считать необратимой, а данные становятся недоступны даже для само­го владельца.

Типичный пример такого подхода — линейка продуктов от ООО «Физтех-софт» (http://www.strongdisk.ru). Это программные и аппаратно-программные решения разного уровня под общей маркой StrongDisk. Содержимое всего диска или его разделов шифруется, а к компьютеру подключается дополнительное оборудование, например устройство считывания смарт-карт или электронный ключ. В программе реализованы различные сценарии, в том числе «работы под принуждением». В не­штатной ситуации по нажатию «горячей клавиши», кнопки радиобрелока, звонка на модем, при поступлении SMS на мобильный телефон происходит уничтожение содержимого защищенных дисков и/или электронного ключа. В результате восстановить данные становится невозможно даже при наличии всех паролей и ключей.

Для гарантированного удаления информации с перезаписываемого лазерного дис­ка достаточно выполнить полное стирание средствами программы для записи дис­ков, например Nero Burning ROM. Если при быстром стирании только очищается заголовочная часть диска, то при полном все блоки действительно перезаписыва­ются нулями. Для уничтожения совершенно ненужных лазерных дисков проще всего переломить, разбить или разрезать их на несколько частей. Существует очень красивый и быстрый метод уничтожения дисков в микроволновой печи: от момен­тального нагрева отражающий слой сгорает с «фейерверком». К сожалению, такой способ утилизации дисков часто выводит из строя саму микроволновую печь.